- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 95. 개인정보의 안전성 확보조치
- 95.1. 개인정보의 안전성 확보조치 규정의 역사와 성격
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
95.1.개인정보의 안전성 확보조치 규정의 역사와 성격
개인정보의 안전성 확보조치 규정의 역사와 성격
1. 개인정보처리자의 안전조치의무를 규정한 고시는?
개인정보의 안전성 확보조치에 대해 구체적으로 규정하고 있는 것은 개인정보보호위원회 고시인 '개인정보의 안전성 확보조치 기준'이다.
2. 개인정보의 안전성 확보조치 기준의 역사와 법적 성격
개인정보의 안전성 확보조치 기준 제1조에서는 "이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조와 같은 법 시행령(이하 "영"이라 한다) 제16조제2항, 제30조 및 제30조의2에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다."라고 정하고 있는데, 여기서 특이한 점은 이 기준은 "최소한의 기준"이라고 명시하고 있다는 점이다.
본래 2011. 9. 30. 행정안전부고시 제2011-43호로 제정된 개인정보의 안전성 확보조치 기준은, 제1조에서 해당 고시의 목적에 대해 "개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·변조·훼손되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 세부적인 기준을 정하는 것을 목적으로 한다."고 하고 있었다.
그리고 2008. 5. 19. 방송통신위원회고시 제2008-3호로 제정된 개인정보의 기술적·관리적 보호조치 기준 역시 제1조에서 해당 고시의 목적을에 대해 "정보통신서비스제공자등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조·훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 기술적·관리적 보호조치의 구체적인 기준을 정하는 것을 목적으로 한다."고 하고 있었다.[1]
즉, 일반 개인정보처리자에게 적용되던 행안부고시 '개인정보의 안전성 확보조치 기준'과 정보통신서비스 제공자인 개인정보처리자에게 적용되던 방통위고시 '개인정보의 기술적·관리적 보호조치 기준' 모두, 개인정보의 안전성 확보를 위한 "최소한의 기준"이 아니라 "세부적, 구체적인 기준"을 정하고 있다고, 해당 고시의 성격을 밝히고 있었던 것이다.
그러나 '개인정보의 안전성 확보조치 기준'은 2016. 9. 1. 개정을 통해 그 목적을, 안전조치의 "세부적인 기준"을 정하는 것이 아니라 "최소한의 기준"을 정하는 것으로 변경하였다.
(참고로, 이에 더하여 제6조 제5항으로 "⑤ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다."는 규정을 신설하였다)
또한 '개인정보의 기술적·관리적 보호조치 기준'은 2015. 5. 19. 개정을 통해 그 목적을, 보호조치의 "구체적인 기준"을 정하는 것이 아니라 "최소한의 기준"을 정하는 것으로 변경하였고, 이에 대해 아래와 같이 그 개정 취지를 밝혔다.
(그리고 역시 이에 더하여 제4조 제10항으로 "⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다."는 규정을 신설하였다)
◇ 개정 이유 ◇ 주요 개정내용 마. 현재 개인정보취급자의 “컴퓨터”에만 접근통제 조치를 하고 있으나, 태블릿PC 등으로 업무환경이 변화됨에 따라 “모바일 기기”를 추가하고, 개인정보처리시스템에 대한 접속이 필요한 시간에 한하여 유지되도록 “최대 접속시간 조치” 등을 취하도록 함 (안 제4조제9항 및 제10항) |
이러한 개정은 2014. 7. 31. 관계부처 합동으로 발표된 '개인정보보호 정상화 대책'에서 아래와 같이 고시는 기본원칙과 필요최소한의 조치만 규정하고 개별적 수단 선택은 재량을 인정하기로 한 것이 반영된 것이었다.
그런데 대법원은 이러한 고시 개정이 이루어지지 않은 상태를 전제하더라도, 기업의 민사상 책임에 있어서는 위와 같은 고시는 "최소한의 기준"을 정한 것에 불과하다는 취지로 보았다.
그것이 바로 기존의 일명 '옥션 판결'을 뒤집은 일명 '네이트·싸이월드 판결'이다.
대법원 2018. 1. 25. 선고 2015다24904, 2015다24911(병합), 2015다24928(병합), 2015다24935(병합) 판결 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조 제6항은 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호, 이하 ‘고시’라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항 등에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다. 다만 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다. |
대법원 역시 홈페이지 내 '판례속보'를 통해 위 판결 선고 당시 이 부분이 네이트·싸이월드 판결에서 대법원이 핵심적으로 밝히고자 했던 내용임을 안내한 바 있다.
특히 위 판결에서는 "정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당하고, 또한 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 위 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것"이라고 하여 작업종료 후 로그아웃을 하여 해커가 로그인 절차 없이 DB에 들어가지 못하도록 하는 것은 당연히 해야 할 보호조치라는 점도 명시적으로 언급하였다.
이는 위 사건의 1심 단계에서, 개인정보취급자의 장기간 로그인 및 작업종료 후에도 로그아웃을 하지 않고 방치하였던 점이 발견되어 과실로 인정된 것(서울서부지방법원 2013. 2. 15. 선고 2011가합11733, 2011가합13234(병합), 2011가합14138(병합), 2012가합1122(병합) 판결)을 대법원 역시 민사상 과실에 해당한다고 인정한 것이었다.
앞서 살펴본 '개인정보의 안전성 확보조치 기준' 및 '개인정보의 기술적·관리적 보호조치 기준'이 각각 2016. 9. 1. 및 2015. 5. 19.에 개정될 때에 "최소한의 기준"으로 변경하는 동시에 "자동 로그아웃 기능 의무화" 조항을 신설한 것은, 이처럼 2013. 2. 15. 선고된 네이트·싸이월드 해킹 1심 사건에서 미처 법령이 정하지 못한 과실이 중요하게 문제되었던 점이 영향을 미친 것이었다.
그리고 2018. 1. 25. 선고된 네이트·싸이월드 해킹 3심 사건에서의 대법원의 판시는 위와 같은 개정이 적절한 것이었음을 사법부 차원에서도 확인한 것이라 할 수 있었다.
한편, 위 '개인정보의 안전성 확보조치 기준' 및 '개인정보의 기술적·관리적 보호조치 기준'은 담당부처의 변경은 있었지만 각기 일반 개인정보처리자와 정보통신서비스 제공자인 개인정보처리자의 각 안전조치의무에 대해 규정하다가, 2023년도에 완전히 통합되었으며, 따라서 이제는 '개인정보의 안전성 확보조치 기준'이라는 명칭의 고시만 남아 있다.
그리고 위와 같은 고시의 역사에 비추어볼 때, 이 고시는 이를 준수하면 행정적 또는 형사적 책임은 면할 수 있으나 민사적 책임까지 면제되지는 않는, "최소한의 기준"의 성격을 가짐을 명확히 알 수 있다.
1. 참고로 당시 이 고시의 위임법령은 정보통신망법이었고, 향후 2020년에 데이터 3법 개정으로 개인정보 처리에 대하여 개인정보보호법과 정보통신망법 중 개인정보 관련 부분이 통합되면서 이 고시와 동일한 이름의 고시가 개보위 고시로 다시 제정되었다가, 2023년도에 '개인정보의 안전성 확보조치 기준'이라는 이름으로 두 개 고시가 완전히 통합되었다.
